Apache ReverseProxy vor Exchange

Nach einiger Zeit mit dem ISA hab ich heute mal wieder einen Apache als ReverseProxy eingerichtet um auf meine verschiedenen Server daheim zu verlinken. Der grund dafür ist einfach: Einen Linuxserver hab ich sowieso laufen, der ISA braucht hingegen ein extra System, also warum nicht eine VM einsparen 😉

Als ich das letzte mal mit dem Apache als Proxy gearbeitet habe gab es noch einige Probleme im Bereich ActiveSync und OWA lief auch nicht ganz rund, soweit ich bisher gestestet habe läuft nun aber alles rund. Kommen wir zu der Konfiguration, ich poste einfach mal meine VHost Einstellungen:

<VirtualHost *:443>
ServerName mail.2-cpu.de
DocumentRoot /server/web/htdocs/default

SSLEngine on
SSLCertificateFile /server/web/cert/mail/mail.2-cpu.de.crt
SSLCertificateKeyFile /server/web/cert/mail/mail.2-cpu.de.key

SSLProxyEngine on

RequestHeader set Front-End-Https On
ProxyRequests Off
ProxyPreserveHost On

<Proxy *>
Order deny,allow
Allow from all
</Proxy>

ProxyPass / https://dyndns/
ProxyPassReverse / https://dyndns/

CustomLog „/server/web/logs/default/access_log“ combined
</VirtualHost>

Im ganzen eigentlich nichts spektakuläres und es funktioniert inkl PushMail. Wie evtl auffällt ist die TLD unter der der Apache läuft nicht meine Dyndns. Auch dies hat einen praktischen Grund, mein Windows Mobile Handy hat es nicht so mit den DNS Cache Updates wenn sich die Dyndns IP ändert, da die TLD aber eine feste IP hat sollte das jetzt auch so laufen ohne das ich das Gerät täglich neu starten muss…

Noch ein Wort zu den SSL Zertifikaten:
Hier habe ich aus dem Windows Zertifikatdienst das Zertifikat als .pfx Datei exportiert (das dabei eingegebene Password merken!) und am Apache daraus eine .key-File gemacht:

openssl pkcs12 -in mypfxfile.pfx -out outputfile.txt -nodes

Danach aus der .txt Datei den Teil inkl BEGIN und END

—–BEGIN RSA PRIVATE KEY—–
(Block of Random Text)
—–END RSA PRIVATE KEY—–

kopieren und in eine .key Datei abspeichern

Und dann noch am IIS das Domainzertifikat mit der mail.2-cpu.de TLD als .cer exportiert und in .crt umbenannt, funktioniert einwandfrei und das Handy nimmt das Zertifikat als von der Domänenzertifizierungsstelle ausgestelltes ohne Murren an.

Sollten Fragen auftauchen immer her damit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.